Hacer una valoración aproximada del impacto económico que supone para una empresa recuperarse de un ciberataque no es fácil. Hay que tener en cuenta múltiples factores que varían dependiendo del país, tipo de ataque, tipo de empresa, número de empresas encuestadas y los respectivos países en los que operan, etc.
Por esta razón, los distintos medios de comunicación o estudios dedicados a investigar acerca del tema proporcionan diferentes resultados, ya que cada uno de ellos se valdrá de sus propias fuentes y encuestados, lo que suele desembocar en datos variables.
Aun así, lo que todos los datos revelan es que debido a la gran variedad y mayor sofisticación de las crecientes amenazas financieras online, las pérdidas producidas por el fraude online, el robo de identidades, y el pirateo, se han incrementado hasta llegar a cifras millonarias.
Además, cabe añadir que muchos de los ciberataques no son reportados a las organizaciones pertinentes por el miedo a la repercusión, por lo que la cifra podría ser aún mayor.
Lógicamente para hacernos una idea del impacto económico global de los ciberataques, lo más fácil es hacer un repaso a los datos de años anteriores. El estudio elaborado por Accenture determina que de 2013 a 2017 el coste medio de los ciberataques ha aumentado un 62%. De hecho, sólo en el 2017 se ha incrementado un 27.4% respecto a 2016. Y es que en lo que llevamos de año, el coste medio se establece en 11.7 millones de dólares.
Una cifra muy baja si la comparamos con la previsión realizada por Cybersecurity Ventures, que estima que en 2021 el coste a nivel mundial será de 6 trillones de dólares al año.
Cuesta más un ciberataque que un desastre natural
Al menos en el caso de Estados Unidos. El huracán Katrina sacudió el país en 2005 siendo uno de los desastres naturales con peores consecuencias y también el más costoso. Los daños llegaron a los 108.000 millones de dólares. En el caso del huracán Sandy las pérdidas no llegaron a superar los 70.000 millones de dólares. Muy poco en comparación con la estimación que hace el informe de la aseguradora británica Lloyd’s y la empresa de análisis de seguridad cibernética Cyence, quienes pronostican que la amenaza de hackeos en el país norteamericano podría llegar a costar 121.000 millones de dólares. Una diferencia de 13 millones de dólares respecto al daño provocado por el huracán Katrina.
Y es que según el mismo estudio de Accenture, Estados Unidos es el país que registra un mayor coste económico con un impacto de 21.22 millones de dólares, seguido por Alemania, Japón y Reino Unido.
Sin embargo, el país en el que más se ha visto aumentado el coste por ciberataques es Alemania, con un 42.4% más que en 2016.
Rescates millonarios
Las compañías gastaron de media 2 millones de dólares en combatir el malware (software malicioso) y 2.4 en los ataques de tipo web el año pasado.
Por citar uno de los casos de malware más mediáticos y de mayor repercusión mundial, cabe destacar el ransomware, un virus que bloquea los sistemas y, en algunas ocasiones, encripta los datos a cambio de una compensación económica como rescate para restablecer la normalidad. El ciberataque global del ransomware WannaCry, que infectó más de 300.000 ordenadores en 150 países, tuvo un impacto económico de más de 1.000 millones de dólares en las empresas afectadas, según reporta la agencia McClathy citando a expertos de la compañía de seguridad informática KnowBe4.
Y cómo no, los rescates a bancos salen aún más caros
La banca se sitúa como el sector más perjudicado por las ciberamenazas, ya que el coste medio anual se establece en 18.28 millones de dólares.
Y no es de extrañar si conocemos algunos de los casos ocurridos en los últimos años. Un ejemplo es el Banco Central de Bangladesh, que en febrero del 2016 fue infectado con malware, permitiendo la realización de transferencias fraudulentas. Afortunadamente, la mayoría de esas transacciones consiguieron ser bloqueadas a tiempo y los ciberdelincuentes “tan sólo” pudieron robar 81 millones de dólares de los 951 que pudieron haber conseguido.
Las pequeñas empresas también sufren las consecuencias
Accenture recalca de nuevo que cuanto más grande sea la empresa y más grande sea el número de conexiones directas a la red o a los sistemas de la compañía, más caros son los costes.
Sin embargo, los costes derivados de cada tipo de ataque varían dependiendo del tamaño de las compañías. Y es que las pequeñas empresas experimentan una mayor proporción de costes en relación a los delitos de tipo malware, ataques web y phishing o ingeniería social. En cambio, las empresas más grandes invierten un mayor esfuerzo económico en revertir los daños ocasionados por el bloqueo de sus servicios, ataques internos por parte de sus empleados y el código malicioso.
Según el informe del “Impacto Financiero de la Seguridad de IT en las Empresas Europeas” elaborado por Kaspersky Lab, el impacto financiero de un sólo vector de ataque y robo de datos se calcula aproximadamente en 77.372 € para las pymes a nivel mundial y en 770.252 € para las grandes empresas. En este cálculo, la reasignación del tiempo del personal de TI representa el mayor coste adicional tanto para las pymes como para las grandes empresas con 14.138 dólares y 125.938 dólares respectivamente.
La frecuencia del ataque también influye en el coste
El coste del cibercrimen depende también de la frecuencia con la que se ataque. Por tanto, los mayores daños económicos los producen los delitos relacionados con los provocados dentro de la empresa (malicious insiders), el bloqueo de los servicios, los ataques web y las técnicas de ingeniería social.
Sí, de nuevo la ingeniería social. Uno de los ataques que mayor auge están teniendo en los últimos años debido al desconocimiento y al despiste de los usuarios. Incluso la identidad de cualquier CEO puede ser usurpada y utilizada para enviar un email a sus empleados y provocar un desastre.
De hecho, a comienzos de 2016 unos ladrones ordenaron realizar una transferencia millonaria al contable de una empresa haciéndose pasar por un alto directivo. Es el denominado ‘fraude al CEO‘. Pocos días después, un constructor austríaco de sistemas para aeronaves afirmaba haber perdido 50 millones con el mismo engaño.
A nivel mundial son cientos las empresas, grandes y pequeñas, que han sido estafadas. No hay estadísticas en nuestro país pero sí en Estados Unidos, donde el FBI lo tipifica como ‘Business Email Compromise’ (Compromiso de Correo Empresarial). Desde octubre de 2013 hasta agosto de 2015 se denunciaron más de 7.000 casos, con unas pérdidas de 750.000 millones de dólares.
La consecuencia más cara: el robo de información
El robo de información se mantiene, desde 2015, como el primer motivo de los ciberataques. Además, durante estos últimos 3 años, el coste por su recuperación ha seguido en aumento, y ha llegado a suponer el componente más caro con un 43% respecto al resto de consecuencias como la disrupción del negocio, pérdida de ganancias y daños en el equipo.
No es sencillo recuperarse del impacto de un ciberataque ya que hay que contemplar los siguientes ámbitos a los que hacer frente:
- Pérdida de beneficios por interrupción de negocio (como ataques de
denegación de servicio que inutilizan portales). - Robo de datos (secreto industrial, datos personales, etc.).
- Gastos por extorsión.
- Daños o pérdida de datos en los sistemas informáticos.
- Gastos en notificación de afectados, gestión de crisis, recuperación de sistemas e información.
- Coste de la responsabilidad Civil y Legal con sanciones y reclamaciones (por entidades como Agencia de – Protección de Datos u otras entidades públicas).
- Coste reputacional de imagen y de reputación en RRSS (especialmente en servicios financieros, banca, salud, derecho u otros servicios en que se trata información de carácter personal).
¿Qué conclusiones se pueden sacar?
Se demuestra que todas las empresas, sin importar tamaño, son susceptibles a un ciberataque. Y aunque no se puede calcular una cifra exacta de pérdidas económicas por ciberataques ocurridos en los últimos años, sí se puede afirmar que los daños monetarios han ido en aumento y que la tendencia que más creció en 2017 fue el Ransomware, en la que un cibercriminal pide dinero a una organización para desbloquear información.
Y es que la seguridad cien por cien es difícil de conseguir, tanto en la vida real como en la red.
Por ello es mejor prevenir que curar. La inversión en ciberseguridad siempre es y será una buena opción. Cuente con Open Data Security y le asesoraremos sobre cómo maximizar la seguridad de sus sistemas.
Si deseas compartir esta infografía en tu propia web, puedes hacerlo copiando y pegando el siguiente código:
<a href=»https://opendatasecurity.io/es/cuanto-cuesta-un-ciberataque-a-las-empresas/»><img class=»aligncenter wp-image-20123 size-full» src=»https://opendatasecurity.io/wp-content/uploads/2017/10/Infografia_Costes.png» alt=»»/></a>[:]